二重化構成について 


本章では Firewall を2台使用して、二重化構成を構築するための手順について説明します。 


セットアップの概要 (—96 ページ） . 

. 一重化機能の動作概要について説明してます。 

セットアップ (—10 〇ページ） . 

. _重化構成を構築する場合の設定手順について説 

明してます。 

運用 (—126 ページ） . 

. 一重化構成での運用方法について説明していま 

す。 

—重化構成の再セットアップ (—134 ページ） . 

. 再セットアップの手順が単体構成とは異なりま 

す。再セットアップの際の差分や手順について説 
明しています。 


注意 • 制限事項 (—135 ページ) 


二重化構成で運用する際の注意事項や制限事項に 
ついて説明しています。 










セットアップの概要 

二重化構成について説明します。 

この Firewall では、以下の2種類の二重化構成を作成することができます。 


• 片運用切替え型(ホットスタンバイ） 

一台で運用し、障害時にスタンバイしている方に運用を移行します。 

• 両運用切替え型（□ー ドシェア r 

二台で並列に運用し、障害時には運用側ですベての業務を引き継ぐことが可能です。 

* □ードシェアとは、イントラネット側の業務クライアントマシンのデフォルトゲートウェ 
イを各々の Firewall に設定することにより、 Fi 「 ewall 2 台での運用を可能とするものです。 
障害時には、業務の引き継ぎ1台の Firewall で運用が可能です。 


動作概要 


Firewall を二重化することで1台が障害などにより停止しても、もう1台の Firewall へ自動的に 
引き継ぐことにより、障害時の業務停止時間を最小限に抑えることができます。 

また、運用系で Fi 「 eWall -1 のプ□セスの異常を検出した場合や設定された IP アドレスとの通 
信が途絶した場合にも、待機系に業務を引き継ぐことが可能です。 

以下の仕組みで Firewall を二重化します。 

ホットスタンバイ 

• 通常運用時 

-運用系側の Firewall で有効にした仮想 IP アドレスを使用してインターネット側とイン 
トラネット側の双方からアクセスします。 

-運用系/待機系の Firewall は互いにサーバの状態を監視をします。 



イントラネット側 LAN 



96 






























• 運用系サーバ障害時 


待機系の Firewall が運用系のダウンを検出します。 

運用系の Firewall が仮想 IP アドレスを無効にします。 

待機系の Firewall が仮想 IP アドレスを有効にします。 

インターネット側とイントラネット側の双方からのアクセスは仮想 IP アドレスを使 
用しているので業務の切り替わりを意識することはありません。 


イントラネツト側 LAN 




DMZ を使用する場合もイントラネット、インターネット同様に仮想 IP アドレスが引き継がれ 
ます。 
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□ードシェア 

• 通常運用時 

-両系の Firewall で各々の仮想 IP アドレスを使用してインターネット側とイントラネッ 
卜側の双方か6アクセスします。 

-両系の Firewall は互いにサーバの状態を監視します。 


イントラネット側 LAN 




• サーバ 障害時 


-どちらか一方の Firewall が業務の異常、または障害を検出します。 

-障害側の Firewall は、自分の仮想 IP アドレスとの対応を、正常側の Firewall と対応さ 
せるように変更します。 


イントラネット側 LAN 
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二重化構成では Fi 「 ewall 2 台のほかに管理用サーバが必要となります。 Express 5800/ 
FW 300 または FW 500 をもう1台使用し、管理サーバとして動作させることも可能です。 


必要な 1 J ソース 


二重化を実現するためには、 Firewall を単体で運用するときに比べて新たなリソースが必要 
です。 

セットアップの前にリソースの計画や設定をしてください。 

• 仮想 IP アドレス(インターネット側)：1つ（□ー ドシェアは2つ） 

インターネット側で引き継ぐアドレスです。 

インターネット側のネットワークアドレス内で未使用の IP アドレスを設定してくださ 
い0 

このアドレスは Firewall 本体のインタフェースに直接割り当てるアドレスではありませ 
ん〇 

• 仮想 IP アドレス(イントラネット側)：1つ（□ー ドシェアは2つ） 

イントラネット側で引き継ぐアドレスです。 

イントラネット側のネットワークアドレス内で未使用の IP アドレスを設定してくださ 
い0 

このアドレスは Firewall 本体のインタフェースに直接割り当てるアドレスではありませ 
ん〇 

• 仮想 IP アドレス (DMZ 側)：1つ（□ー ドシェアは2つ） 

DMZ で引き継ぐアドレスです。 DMZ を設けない場合には不要です。 

DMZ のネットワークアドレス内で未使用の IP アドレスを設定してください。 

このアドレスは Firewall 本体のインタフェースに直接割り当てるアドレスではありませ 
ん〇 

• Firewall 間通信用アドレス：1つ 

Firewall 間の監視に使用するアドレスです。 

基本的には、 Firewall 監視専用アドレスとして、 Firewall 本体のインタフェースに割り当 
ててください。 

11-0 専用のインタフェースが用意できない場合は、インターネット側、イントラネット側と 
使用可能ですが、その場合には別途、特別なポリシールールの作成が必要となります。 
ポリシーのルールについては、本章の「セキュリティポリシーの設定」-「二重化用ルー 
ルの追加」を参照してください。 
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セットアップ 


ホットスタンバイ、□ー ドシェアの設定について説明します。 


ホットスタンバイの設定 


以下のネットワーク構成を例にとって設定を行います。 

□—ドシェアを行う場合は、本章の「□ードシェアの設定」を参照してください。 


• 

FirewaNl (運用系） 



ホスト名： 

fwsl 


インターネット側実 IP アドレス： 

202.247 .5.1/255.255.255 .〇 


DMZ 側実 IP アドレス： 

172.16 .1.1/255.255.255 .〇 


イントラネット側実 IP アドレス： 

192.168 .1.1/255.255.255.0 


Firewall 間通信用 IP アドレス： 

192.168 .2.1/255.255.255 .〇 

• 

Fi 「 ewall 2( 待機系) 



ホスト名： 

fws 2 


インターネット側実 IP アドレス： 

202.247 .5.2/255.255.255 .〇 


DMZ 側実 IP アドレス： 

172.16 .1.2/255.255.255 .〇 


イントラネット側実 IP アドレス： 

192.168 .1.2/255.255.255 .〇 


Firewall 間通信用 IP アドレス： 

192.168 .2.2/255.255.255.0 

• 

仮想 IP アドレス 



インターネット側： 

202.247 .5.3 


DMZ 側： 

172.16 .1.3 


イントラネット側： 

192.168 .1.3 

• 

プロキシ ARP アドレス 



インターネット側： 

202.247 .5.4/255.255.255.0 

• 

管理用サーバ 



ホスト名： 

firewall_mgr 


IP アドレス： 

192.168 .1.4/255.255.255 .〇 

• 

GUI クライアント用 PC 



IP アドレス： 

192.168 .1.5/255.255.255 .〇 
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インターネット側 LAN 


イントラネツト側 LAN 
192 . 168 . 1 . 0 / 255 . 255 . 255.0 



DMZLAN 

172 . 16 . 1 . 0 / 255 . 255 . 255.0 


公開用 WWW/FTP などへ 




































設定手順の流れ 


以下に設定手順の流れを示します。ここでは二重化に関する設定内容のみを説明します。そ 
の他の手順については3章を参照してください。 



〇 



〇 


セキュリティポリシーの設定 


〇 


二重化機能の設定 


〇 


他のネットワーク機器の設定 
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RreWaH -1 管理サーバのセツトアツ 


二重化する2台のサーバを管理するための管理サーバをセットアップします。以下の条件を 
満たすコンピュータに管理モジュールをインストールしてください。 Exp 「 ess 58 〇〇/ 
FW 300 または FW 500 をもう1台用意し、管理サーバとして動作させることも可能です。 

オペレーティングシステム ： Windows NT 4.0 Server ( SP 6 a )、 

Windows 2000 Server (SPK SP 2、 SP 3)、 

Windows 2000 Advanced Server ( SP 1、 SP 2)、 
Solaris/SPARC 8 (32- bit 、64- bit )、 

Solaris/SPARC 9 (64- bit )、 

RedHat Linux 7.0 (kernel version 2.2.16 、 22.17 、 2.2.19) 、 
RedHat Linux 7.2 (kernel version 2.4.9-31) 

RedHat Linux 7.3 (kernel version 2.4.18-5) 

40 MB 以上 
128 MB 以上推奨 

40 MB 以上 
128 MB 以上推奨 

* 上記は2003年 3 月現在の情報です。今後のパッチリリースにより変更になる可能性があり 
ます。 

以下は Exp 「 ess 5800/ FW 300または FW 500を管理サーバとして動作させる場合の設定例で 
す。 

FireWaN - 1管理サーノ（の設定 

以下の手順に従って設定を行ってください。 

1. 初期導入ディスクによる初期設定を行ラ。 

3章の「1.初期導入設定用ディスクによる設定」を参照し、初期設定と管理クライアントの接続を 
行ってください。 



「初期導入設定用ディスクの作成」-「各入力項目の設定」において、「サーバタイプ」は「管理サー 
バ」にチェックをしてください。 

2. 基本設定ツールによる設定を行う。 



3章の「2.システムのセットアップ」-「基本設定ツールによる設定」を参照し、管理サーバとし 
て使用するための設定を行ってください。サーバタイプの設定では、「2. Management 
Server 」 管理サーバになっていることを確認してください。 


Windows or Linux 
ディスク容量： 
メモリ： 

Solaris 
ディスク容量： 
メモリ： 
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Enforcement Module. 

Enterprise Management. 

Enterprise Management and Enforcement Module. 
Enterprise Log Server. 

Enforcement Module and Enterprise Log Server. 


Enter your selection (1-5/a-abort) [1] : 2 


① Fi 「 eWall -1 管理モジュールのコンフィグレーションをする。 

② 使用許諸に承認した場合は<丫〉キーを押す。 

③ インストールするモジュールを選択する。 

「2」を選択し、管理モジュールをインストールします。 


We 丄 come to Check Point Conrlauration Program 

Please read the following license agreement. 

Hit 'ENTER' to continue... 

This End-user License Agreement (the "Agreement") is an agreement 
between you (both the individual installing the Product and any legal 

<^> 

Do you accept all the terms of this license agreement (y/n) ? y . 

Select installation type : 


② 


# fwsetup 

Firewall Server configuration tool ver.2.1 

server type 

1. Firewall 

2. Management Server 

select number[2] :- 


# shutdown -r now 


. 確認 


3. 設定終了後、再起動する。 


FireWaN - 1管理モジュールのコンフィグレーシヨン 

管理モジュールを管理サーバへインストールします。以下の手順でコンフィグレーションを 
行ってください。図中の〈略〉の設定する項目については、3章の「2.システムのセツトアツ 
プ」- 「 FirewWall -1 のコンフィグレーション」を参照してください。 


44 - 


〇) 


1 2 3 4 5 
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Please select Management type : 


(1) Enterprise Primary Management. 

(2) Enterprise Secondary Management. 


Enter your selection (1-2/a-abort)[1] : 1. 

This program will guide you through several steps where you 
will define your SVN Foundation configuration. 

At any later time, you can reconrigure these parameters by 
running cpconfig 


************* installation completed successfully ************* 

Do you wish to start the installed product(s) now? (y/n) [y] ? y 

〈略〉 


FireWall-1 : This is a Management Station. No security policy will be loaded 
FireWall-1 started 


# shutdown -r now 


① 


■② 


■③ 


① インストールする管理モジュールのタイプを選択する。 
「1」を選択し、 Primary として使用します 0 

② 管理モジュールを起動させる。 

③ 再起動する。 


Firewall 本体のセツトアツ 



Firewall のセットアップについて説明します。 

マシンの設定 

以下の手順に従って設定を行ってください。 

1. 初期導入ディスクによる初期設定を行ラ。 

3章の「1.初期導入設定用ディスクによる設定」を参照し、初期設定と管理クライアントの接続を 
行ってください。 

2. 基本設定ツールによる設定を行う。 

3章の「2.システムのセツトアップ」-「基本設定ツールによる設定」を参照し、設定を行ってくだ 
さし、。 


上記の設定においては、二重化機能を使用しない設定としてください。二重化機能の設定につ 
きましては、後述の「二重化機能の設定」で行います。 


Use cluster svstem? (y/n) [nj : n 
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Enforcement Module. 

Enterprise Management. 

Enterprise Management and Enforcement Module. 
Enterprise Log Server. 

Enforcement Module and Enterprise Log Server. 


Enter your selection (1-5/a-abort) [1] : 1 


Select installation type : 


Do you accept all the terms of this license agreement (y/n) ? y 


This End-user License Agreement (the "Agreement")is an agreement 
between you (both the individual installing the Product and any legal 

<l§> 


Please read the following license agreement. 
Hit 'ENTER' to continue... 


TT レ上ノレ、ノ- 

Welcome to Check Point Conriguration Program 


② 


① cpconfig コマンドを実行し、 Fi 「 eWall -1 のコンフィグレーションを始める。 

② 使用許諸に承認した場合は<丫〉キーを押す。 

③ インストールするモジュールを選択する。 

二重化構成の場合は n 」 を選択し、インストールします。 


Firewall - 1のコンフイグレーシヨン 

二重化構成の場合、コンフィグレーション手順が3章とは一部異なります。図中の〈略〉の設 
定する項目については、3章の「2.システムのセットアップ」- 「 FireWall -1 のコンフイグレー 
ション」を参照してください。 


1 


2 3 4 5 
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Is this a Dynamically Assigned IP Address Module installation ? (y/n) [n] ? ■■■ 

Would you like to install a Check Point clustering product (CPHA, CPLS or State 

Synchronization)? (y/n) [n] ? y . 

Would you like to enable SecureXL acceleration feature? (y/n) [y] ? n . . 

IP forwarding disabled 

Hardening OS Security : IP forwarding will be disabled during boot. 

Generating default filter 
Default Filter installed 

Hardening OS Security ： Default Filter will be applied during boot. 

This program will guide you through several steps where you 
will define your VPN-1 & FireWall-1 configuration. 

At any later time, you can reconfigure these parameters by- 
running cpconfig 


① 

■② 

■③ 


① Dynamically Assigned IP Address Module をインストールするか問い合わせがあるの 
で、 < Ente 「> キーを選択する。 

② Check Point clustering product をインストールするか問い合わせがあるので、<丫> 
キーを押す。 

③ SecureXL を有効にするかの設定をする。 

SecureXL を使用しないので < N > を選択します。 



Conflaurmg Secure Interna 丄 Communication... 

The Secure Internal Communication is used for authentication between 
Check Point components 


Trust State : Uninitialized 
Enter Activation Key : 

Again Activation Key : 


The Secure Internal Communication was successfully initialized 

initial_module : 

Compiled OK. 

Hardening OS Security ： Initial policy will be applied 
until the rirst policy is installed 


In order to complete the installation 
you must reboot the machine. 

Do you want to reboot? (y/n) [y] ? y 


■② 


① Fi 「 eWall -1 管理サーバと Firewall 間での通信に使用するパスワードを設定してください。 

② 終了後、再起動します。 
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セキユリテイポリシーの設定 


Fi 「 eWall -1 管理サーバに GUI クライアントを接続します。その後、セキュリティポリシーを 
作成し、管理対象の2台の Firewall にインス I -ールします。 


GUI クライアントのインス I -ール 

管理クライアントに GUI クライアントをインス!-ールします。詳しくは、3章の「セキュリ 
ティポリシーのセツトアップ」を参照してください。 


Firewall オブジェクトの作成 


1. 2台の Firewall のオブジェクトを作成する。 

— View 〇 bjectTree の [ Checkpoint ] を選択し、右クリックします。 

[New Check Point ] —[ Gateway ] を選択します。 

—オブジェクト: Gateway 
名前 ： fwsl 、 fws 2 

内容 ： IP Address には FireWall -1 管理サーバと同じネットワークの実 IP アドレス 

を設定してください。 

一 FireWall - 1管理サーバがら Firewall を管理(セキュリティポリシーの設定やロク'表示など)す 
るためには、 FireWall -1 管理サーバと Firewall との間で通信を行うための設定が必要です。 
General ぺージで [ Communication ...] をクリックし、 FireWall - 1のコンフィグレーシヨン時 
に設定したパスワードを入力してください。 


x| 


General Properties 

：•- l opology 

unat 


卜 Authentication 
0 -Logs and Masters 
i Capacity Optimization 
由 Advanced 


Check Point Gateway - General Properties 

Name ： jfwsl 

IP Address ： 1202.247 .5.1 Get address! F Dynamic Address 


Comment ： 

Color ： || 
Check Point Products 


Version ： [NG Feature Pack 3 


▼] Get Version I 


IFireWalM 


□VPN-1 Pro 
□VPN-1 Net 
□FloodGate-1 

□SecureClient Policy Server 


Secure Internal Communication 
Communication... I DN ： | 
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一 Topology ぺージで全インタフェースを設定します 。 [Get Topology ...] をクリックして自動 
取得します。 



2. 以下のクラスタオブジェクトを作成する。 

— View 〇 bjectTree の [ Checkpoint ] を選択し、右クリックします。 

[New Check Point ] —[Gateway Cluster ] を選択します。 

—オブジェクト ： Gateway Cluster 
名刖 : fws_cluster 

内容 ： IP Address にはインターネット側の仮想 IP アドレスを指定してください。 

□ー ドシェアを行う場合は、二重化機能の設定で group ◦に登録したインターネット側の仮想 IP ' 
アドレスを指定してください。 
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3. Cluster Members ページで、手順 1 で作成した 2 台の Firewall オブジェクト ( fwsl と fws 2) を追加す 
る。 



4. Synchronization ぺージでセツシヨン同期を行うネツトワークを入力する。 
このネットワークにおいて互いのコネクション情報を共有します。 



X) 


General Properties 
Cluster Members 
Availability Mode 
Synchronization 
Topology 
NAT 
田 VPN 

Remote Access 
Authentication 
田 Logs and Masters 
Capacity Optimization 
田 Advanced 


Synchronization 

W Use State Synchronization 
Synchronization networks： 


Netiniork Na me IP Address ] Network Mask 


[Add... 


Add Synchronization N 


ake sure 
See Help for details. 


the above networks are safe. 


Network Name ： 
IP Address ： 

Net Mask: 


Jsync net 


■T 92.168 .2.0 


1255.255.2550 


OK 


Cancel I Help 









































セキュリティポリシーの作成 

ネットワーク構成に応じてセキュリティポリシーを作成してください。 

• ステルスルール（サーバ自身へのアクセスを拒否するルール）に関しては fws _ cluste 「 
(Gateway Cluster オブジェクト)を設定することに注意してください。 

Source : any 

Destination : fws_cluster 
Service : any 

Action : drop 

M-O □ー ドシェアの構成を組んだ場合は、ステルスルールにおいて、 Destination に 
眞 ^ g 「 fws _ cluster 2」 を作成し、追加します 0 

「 fws _ cluster 2」 の作成方法 

1. ViewObjectTree の [ Nodes ] を選択し、右クリックする 0 
[New Nodes ] — [ Host ...] を選択します。 

2. IP アドレスの設定値は、二重化機能の設定で groupl に登録するインター 
ネット側の仮想 IP アドレスを指定する。 

3. Topology ページで、 groupl に登録する仮想 IP アドレスをすべて指定する。 

• ネットワークオブジェクトにて Hide モードの NAT を使用する場合 、 「Add Automatic 
Address Translation rules 」 (こチェックし 、 「Translation method 」 (こて 「 Hide 」 を選択 
し 、 「Hiding IP Address 」 には仮想 IP アドレスを指定します。 

• Static モードの NAT を使用する場合 、 「Add Automatic Address Translation rules 」 に 
チェックし 、 「Translation method 」 にて 「 Static 」 を選択し 、 「Translate to IP Address 」 
に StaticNAT 変換後 IP アドレスを指定します。 

n-O StaticNAT を使用する場合は、別途基本設定ツール ( fwsetup ) にて、ルーティング 
眞^ の設定、 ProxyARP の設定が必要になります。ルーティングの設定については、本章 
の 「 Firewall のセツトアップ」- 「 NAT のためのルーティングテーブル」を参照してく 
ださい。 


一重化構成について 


111 






二重化用ルールの追加 


二重化機能を使用するためには、サーバ間の状態監視用通信を通すためのルールを設定する 
必要があります。 

1. メニューの [ Manage ] —[ Services ...] —[ New ] を選択し、以下のサービスを定義する。（名前は一 
例です。他の名前でも構いません。） 


オブジェクト : TCP 
名前 ： clp_tcp 

ポート :28001 



オブジェクト : UDP 
名.刖 : clp_udp 

ポート :28002 



w-Oi^ 

上記ポート番号は基本設定ツールにおける既定値のポート番号です。二重化機能の設定でポー 
卜番号を変更する場合はその設定に合わせてサービスの定義を行ってください。 


2 . 上記の二重化通信用のルールを追加する。 


項目 

Source : 

Destination : 

Service : 

Action : 


設定値 
fws 1、 fws 2 
fws 2 、fwsl 
clpjcp 、 clp_udp 
accept 







































ホットスタンバイを行う場合は以下の点に注意してください。 


Firewall 監視ネットワークを専用としない(インターネット側、イントラネット側と共有す 
る)場合は、以下のルールを追加してください。 


項目 

Source : 

Destination : 

Service : 

Action : 


設定値 

fws 1、 fws 2 
syncjip 
FW 1 
accept 


「 sync — fip 」 の作成方法 

1. ViewObjectTree の [ Nodes ] を選択し、右クリックする。 

[New Nodes ] —[ Host ...] を選択します 0 

2. IP アドレスは、 Synchronization ページで設定したセッション同期を行うネット 
ワーク内に存在する FIP を指定する。 

□ー ドシェアを行う場合は以下の点に注意してください。 

ーセッション同期ネットワークは必ず専用ネットワークとしてください。 

ーネットワークの定義として、以下のような定義が必要となります。ただし、このネット 
ワーク設定は Firewall - 1におけるオブジェクト定義のみであり、実際のネットワーク構 
成へ反映するものではありません。 

(下記は、192.1 68.1.1 〜 192.168.1.1 27を fwsl を使用、192.168.1 .1 28〜 
192.16 8.1.254 は、 fws 2 を使用して通信を行う場合の例です。） 

1. VewObjectsTree の [ Networks ] 右クリックし 、 [New Network ] を選択し、 
以下の2つのネットワークオブジェクトを作成します。 

ネットワークオブジェクト1 

オブジェクト名： network . 1 

IP アドレス ： 192.168.1.0 

ネットマスク: 255.255 .255. 128 

HideNAT : groupO に登録した仮想 IP アドレス 

ネットワークオブジェクト2 

オブジェクト名： network _2 
IP アドレス ：192.168 .1.128 
ネットマスク: 255.255 .255. 128 
HideNAT : group 1に登録した仮想 IP アドレス 


2. 1 92. 1 68. 1 ■ 1〜1 92.168.1.1 27の内部ホストは、 groupO に登録した仮想 IP 
アドレスに HideNAT されます。 

192.168 .1.1 28〜192.16 8.1 .254の内吾|5ホストは、 group 1に登録した仮1 目、 
IP アドレスに HideNAT されます。 


一重化構成について 


113 







二重化用設定事項 


二重化機能を使用するためには、設定事項として、 [ Policy ] - [Global Properties ] - [ NAT - 
Network address translation ] ページで 「Automatic ARP 〇〇门如111^:1〇门」のチェックを外す 
必要があります。 



チェックを外す 


セキュリティポリシーのインストール 

セキュリティポリシーの作成が完了したら、ポリシーをインストールしてください。2台の 
Firewall にインストールされます。 

セキュリティポリシーのバックアップ 

二重化構成の場合、ポリシー情報は Fi 「 eWall -1 管理サーバに保存されますが、情報のリスト 
アの際には、管理サーバと Firewall 本体の両方のバックアップデータが必要となります。管 
理サーバとして Express 5800 / FW 300または FW 500を使用している場合には、3章の「4.セ 
キュリティポリシーのバックアップ」コマンドによるバックアップを参照してください。 
FireWall - 1モジュールのバックアップ方法と同じです。 

その他のサーバを使用している場合には、該当するファイルのバックアップが必要となりま 
す。（以下のファイルは、 Windows マシンを使用した場合の一例です。インス!-ールディレ 
クトリによって異なりますので注意してください。） 


1 . 以下のディレクトリ配下のすべてのファイル 

C :¥ WINNT ¥ FW 1 ¥ NG¥conf 
C :¥ WINNT ¥ FW 1 ¥ NG¥database 
C :¥ WINNT ¥ FW 1¥ NG¥lib 

C:¥Program Files ¥ CheckPoint ¥ CPShared ¥ NG ¥ conf ¥ sic _ cert.p 12 

2. HKEY _ LOCAL _ MACHINE ¥ SOFTWARE ¥ CheckPoint¥SIC 

レジストリエディタを開き、上記のレジストリツリーをファイルに書き出し、バックアップをし 
てください。 

| «-〇 セキュリティーポリシーの設定の説明において使用している画像イメージは、 
FireWaN - 1の FeaturePack によつて異なる場合があります。 





















機能の設定 


二重化機能の設定方法を説明します。設定は基本設定ツールから行います。両 Firewall で全 
く同じ設定を行ってください。 

二重化機能の設定項目およびそれぞれの制限事項は以下のとおりです。 

• 八一トビート送信間隔 

ハートビートの送信間隔(秒)を指定します。 

• 八一トビートタイムアウト時間 

ハートビートが途絶して相手 Firewall が夕'ウンしたと認識するまでの時間(秒)を指定しま 
す。ハートビート送信間隔より大きい値を指定してください。 

• Firewall 起動待ち時間 

起動時に相手 Firewall の起動時間を待ち合わせる時間(秒)を指定します。ハートビートタ 
イム時間より大きい値を指定してください。 

• 内部通信用 TCP ポート番号 

2台の Firewall 間で通信を行うための TCP のポート番号を指定します。 

• 内部通信用 UDP ポート番号 

2台の Firewall 間で通信を行ラための UDP のポート番号を指定します。 

• Firewall 1のサーバ名 

ホスト名は FQDN 形式ではなく、ドメイン名を除いた名前を指定してください。 

• FirewaN 2 のサーバ名 

ホスト名は FQDN 形式ではなく、ドメイン名を除いた名前を指定してください。 

• FirewaNl のインタコネクトアドレス 

相手 Firewall を監視するためのアドレスとネットマスクを入力します。 

• Firewall 2 のインタコネクトアドレス 

相手 Firewall を監視するためのアドレスとネットマスクを入力します。 

• 仮想 IP アドレス 

二重化機能を使用する場合、 Firewall へのアクセスは原則仮想 IP アドレスを使用する必要 
があります。 

サーバ間監視専用インタフェースを除く全インタフェースに仮想 IP アドレスを設定して 
ください。 

• 監視対象アドレス 

監視対象として設定された IP アドレスとの通信が途絶した場合、待機系 Firewall にフェイ 
ルオーバが行われます。本項目の設定は省略することができます。 

• プロキシ ARP アドレス 

StaticNAT 機能を使用する場合、外部公開アドレスとして使用するアドレスを指定して 
ください。 
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• 運用系 Firewall 

運用系の Firewall を指定します。 

• 自動フェイルバック 

自動フェイルバックを行うかどうか設定します。自動フェイルバックを auto にした場 
合、運用系夕'ウン後、待機系に業務が引き継がれている状態で、運用系が復帰(起動)す 
ると、自動的に運用系に業務を戻します。 

ホットスタンバイの設定 

基本設定ツールでの設定手順を示します。以下の内容は、本章の「セットアップ」で示した 
ネットワーク構成を例にとって説明します。 


① 

② 

③ 
④ 

① 管理クライアントから Firewall の基本設定ツールである fwsetup コマンドを起動する。 

② ruse cluster system 」 の項目までは、く ENTER 〉 キーを押して進み、設定内容を確認す 
る。 

③ 二重化機能を使用する。<丫〉キーを押す。 

④ □—ドシェアの問い （use load share ?) に [ y ] で答えると□—ドシェアの設定が開始され 
る。 

ここでは、ホットスタンバイの設定を行うので、 < N > キーを押します。 


# fwsetup . 

Firewall Server configuration tool Ver.2.1 

<l§> . 

use cluster system? (y/n)[n] : y . 

use load share? (y/n)[n] : n . 


- START CLUSTERPRO configuration —— 

CLUSTERPRO Configuration Tool Ver 1.0 -4 

- cluster configuration - 

Input HB interval(0 - 999) [0] : .............. 

Input HB timeout(1 - 999)[1] : . 

Input WAIT Timeout(1 - 999)[5] : . 

Input API TCP port number[28001] : . 

Input HB UDP port number[28002] : . 

Input serverl host name : fwsl. 

Input server2 host name : fws2 . 


■■① 
■■② 
, ■■③ 

■■④ 

■■⑤ 

■■⑧ 

■■⑦ 


① ハートビート送信間隔(秒)を入力する。 

② ハートビートタイムアウト時間(秒)を入力する。 

③ 起動時に相手 Firewall の起動を待ち合わせる時間(秒)を入力する。 
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④ 内部通信用の TCP ポート番号を入力する。 

⑤ 内部通信用の UDP ポート番号を入力する。 

⑥ Firewall 1のサーバ名（ホスト名）を設定する。 

ホスト名は FQDN 形式ではなく、ドメイン名を除いた名前を指定してください。 

⑦ Fi 「 ewall 2 のサーバ名（ホスト名）を設定する。 

ホスト名は FQDN 形式ではなく、ドメイン名を除いた名前を指定してください。 




server configuration - 

Input fwsl interconnect address . 

address(1) :192.168 .2.1 
netmask(1) : 255.255.255.0 
address(2) : 

No. address/netmask 
1 192.168 .2.1/255.255.255.0 

("a"=add | "m num"=modify | "d num"=delete | "1"=list | Enter=next) 


Input fws2 interconnect address . 

address(1) :192.168 .2.2 
netmask(1) : 255.255.255.0 
address(2) : 

No. address/netmask 
1 192.168.2.2/255.255.255.0 

("a"=add | "m num"=modify | "d num"=delete | "1"=list | Enter=next) 


■① 


■② 


①運用系 Firewall の Firewall 間監視用アドレス（インタコネクトアドレス）とネットマスクを 
入力する。 

インタコネクトアドレスは16個まで設定可能です。 

設定後に一覧を表示します。 

一覧から設定内容の追加、および修正、削除、一覧の再表示をキー入力から操作できま 


す。 

< A > キ ー + く Ente 「> キー： 


インタコネクトアドレスを追加しま 
す0 


< M > キー+「修正する一覧の番号」 +< Ente 「> キー指定した番号の設定を修正します。 
< D > キー+「削除する一覧の番号」 +< Ente 「> キー：指定した番号の設定を削除します。 


<!_> キー +< tnte 「> キー： 
く Ente 「> キー: 


一覧を再表示します。 

次の項目へスキップします。 


②待機系 Firewall の Firewall 間監視用アドレス（インタコネクトアドレス）とネットマスクを 
入力する。 
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- group configuration - 

No. name 
1 group0 

- group rip configuration - 

Input FIP address . 

address(1) : 202.247 .5.3 
netmask(1) : 255.255.255.0 
address(2) : 172.16.1.3 
netmask(2) : 255.255.255.0 

address(3) :192.168 .1.3 
netmask(3) : 255.255.255.0 

address(4) : 

No. address 

1 202.247 .5.3/255.255.255.0 

2 172.168.1.3/255.255.255.0 

3 192.168 .1.3/255.255.255.0 

("a"=add | "m num"^modify | "d num"=delete | "1"=list | Enter=next) : 


① 


①仮想 IP アドレスを入力する。 

仮想 IP アドレスは8個まで設定可能です。 

設定後に一覧を表示しますので、確認、または、変更して < Ente 「> キーで進みます。 

P ： 二重化機能を使用する場合、サーバへのアクセスは、原則仮想 ip アドレスを使用する必要が 

I 匕ント| あります。 

サーバ間監視専用インタフエース以外の全インタフヱースに仮想 ip アドレスを設定してくだ 
さい。 
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① 


202.247 .5.5 I 202.247 .5.254 

192.168 .1.254 


202.247 .5.254 

192.168 .1.254 


• 202.247 .5.254 と1 92. 1 68. 1 .254 の双方と通信が途絶した場合にフェイルオーパを 
行し ' 'たい場合。 

No . address 

1 202.247 .5.254 I 192.168 .1.254 

• 202.247 .5.5 と202.247 .5.254 の双方と通信が途絶した場合か、192.16 8.1.254 と 
通信が途絶した場合にフェイルオーバを行いたい場合 

No . address 


- group 0 ipw configuration - 

Input IPW address . 

address(1) : 2 02.247.5.xxx |2 0 2.2 4 7.5.xxx 
address(2) : 

No. address 

1 202.24 7.5.xxx |202.247.5.xxx 

("a"=add | "m num"=modify | "d num"=delete | "1"=list | Enter=next) : 


①監視する IP アドレスを入力する。 

「 I 」で区切って複数の IP アドレスを入力することができます。その場合は、指定した全 IP 
アドレスとの通信が途絶した場合にリソース異常となります。 

監視する IP アドレスは8個まで設定可能です。ただし、「 I 」で区切った IP アドレスは全体 
で1つの IP アドレスとしてカウントします。 

設定後に一覧を表示しますので、確認、または、変更して < Ente 「> キーで進みます。 

■： 監視対象として設定された ip アドレスとの通信が途絶した場合、待機系サーバにフヱイル 

才ーバが行われます。 

く設定例〉 

• 202.247 .5.254 と1 92. 1 68. 1 .254 のどちらかと通信が途絶した場合にフエイルオー 

パを行いたい場合。 

No . address 


12 


12 
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- group 0 proxy arp configuration 


Input proxy address . 

address(1) : 202.247.5.4 
address(2) : 

No. address 
1 202.247 .5.4 

("a"=add | "m num"=modify | "d num"=delete | "1"=list | Enter=next) : 


，① 


①設定するプロキシアドレスを指定する。 

プロキシ ARP アドレスを入力します。プロキシ ARP アドレスは256個まで設定可能で 
す。 

設定後に一覧を表示しますので、確認、または、変更して < Ente 「> キーで進みます。 


■： プロキシ ARP ァドレスでは、運用系サーバにて StaticNAT を行う場合の公開用 IP ァドレスと 

r^ 1 ] なります。 StaticNAT で公開する IP アドレスをすべて登録してください。 


- group 0 resource configuration - 

Input primary server hostname(fwsl,fws2)[fwsl] 
Input fallback policy(1 : auto, 2 : manual)[manual] 
- END CLUSTERPRO configuration - 

<^> 


① 

② 


① 運用系サーバを入力する。 

② 自動フェイルバックを行うかどうが入力する。 

I n-O 上記の設定は fwsl 、 fws 2 で同じ設定にしてください。 

上記の設定後は、本体を再起動させる必要があります。以下のコマンドを入力してくださ 
い。 

# shutdown -r now 
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他のネットワーク機器の設定 


イントラネットと DMZ に存在するネットワーク機器については、デフォルトルートの設定 
としてサーバに設定したそれぞれのネットワークの仮想 IP アドレス（イントラネット側: 
192.168.1.3、 DMZ 側:172.16 .1.3) を指定するようにしてください。 


【参考】 NAT のためのルーティングテーブル 

Firewall の二重化構成において、 DMZ 上や□一カルネット内のサーバのアドレスを静的に 
NAT (アドレス変換）し、インターネット上に公開する場合、ルーティングテーブルと 
ProxyARP テーブルの設定を別途行う必要があります。 

例として、以下のネットワーク構成の場合、公開用 WWW/FTP サーバを該当するホストと 
すると、以下のようなルーティングテーブルと ProxyARP テーブルの設定を Firewall へ行う必 
要があります。 

mam 202.247 .5. 127 

<-!■ ( NAT 後の IP アドレス） 


仮想 IP アドレス 
202.247 .5. 126 



destination 202.247 .5. 127 
netmask 255.255 .255. 255 
gateway 172.16 .1.2 

変換後のアドレスを destination、 実際のアドレスを gateway に指定してくださし、。 
fwsetup の static routing の項目で設定することができます。 

ProxyARP の設定については、後述の「二重化の設定」を参照してください。 
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ロードシェアの設定 


以下のネットワーク構成を例にして説明します。 

まずは、ホットスタンバイの設定を参照し、 「 Firewall のセットアップ」と「セキュリティポリ 
シーの設定」を行ってください。 


• Firewall 1 

ホスト名： 

インターネット側実 IP アドレス: 
DMZ 側実 IP アドレス： 

イントラネット側実 IP アドレス: 
Firewall 間通信用 IP アドレス： 

• Firewall2 

ホスト名： 

インターネット側実 IP アドレス: 
DMZ 側実 IP アドレス： 

イントラネット側実 IP アドレス: 
Firewall 間通信用 IP アドレス： 

• 仮想 IP アドレス (groupO 側） 

インターネット側： 

DMZ 側： 

イントラネット側： 

• 仮想 IP アドレス (group 1 側） 

インターネット側： 

DMZ 側： 

イントラネット側： 


インターネット側： 

• 管理用サーバ 

ホスト名： 

IP アドレス： 

• GUI クライアント用 PC 

IP アドレス： 


fwsl 

202.247 .5.1/255.255.255.0 
172.16 .1.1/255.255.255.0 
192.168 .1.1/255255.255 .〇 
192.168 .2.1/255.255.255.0 


fws 2 

202.247 .5.2/255.255.255.0 
172.16 .1.2/255.255.255 .〇 
192.168 .1.2/255.255.255 .〇 
192.168 .2.2/255.255.255 .〇 


202.247 .5.3 

172.16 .1.3 

192.168 .1.3 


202.247 .5.4 

172.16 .1.4 

192.168 .1.4 


202.247 .5.5 


202.247 .5.6 


firewall_mgr 

192.168 .1.4/255.255.255.0 


192.168 .1.5/255.255.255.0 


• プロキシ ARP アドレス (groupO 側 ) 

インターネット側： 

• プロキシ ARP アドレス (group 1 側 ) 
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一重化構成について 


123 





















































次に、「二重化の設定」を行います。 

ここでは、口ードシェアの機能を有効にして groupO と groupl に設定を行います。 


# fwsetup . 

Firewall Server configuration too 丄 Ver.2.1 

<l§> 

use cluster system? (y/n)[n] : y . 

use load share? (y/n)[n] : y . 

<l§> 

- group configuration - 

No. name 

1 group0 

2 group1 

- group0 fip configuration - 

<l§> . 

- group0 property configuration - 

Input primary server hostname(fwsl,fws2)[fwsl] : 

Input fallback policy(1 : auto, 2 : manual)[manual] : 

<l§> 

- group1 fip configuration - 

<l§> . 

- group1 property configuration - 

Input primary server hostname(fwsl,fws2)[fwsl] : fws2 
Input fallback policy(1 : auto, 2 : manual)[manual] : 

<l§> 

Please reboot the system. 

# shutdown -r now . 


① 

② 

③ 


④ 


⑤ 

⑧ 


⑦ 


① 管理クライアントから Firewall の基本設定ツールである fwsetup コマンドを起動する。 

② ruse cluster system?」 の設定までは、く Enter〉 キーを押して進みます0 


ここでは、二重化機能を使用するので<丫〉キーを押します。 

③ □—ドシェアを行うので、<丫>キーを押す。 

④ groupO に関する設定を行う。 

設定項目については、「ホットスタンバイの設定」を参照してください。 
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⑤ group 1に関する設定を行う。 

設定項目については、「ホットスタンバイの設定」を参照してください。 

⑥ group 1におけるプライマリを入力する。 

ここでは、 groupO のプライマリ設定とは逆の Firewall を設定してください。 

⑦ Firewall 本体を再起動する。 

11-0 • プロキシ ARP アドレスの設定において groupO と groupl では、同一 IP アドレスの使用 

はできません。異なる IP アドレスを設定してください。 

• 上記の設定は fwsl 、 fws 2 で同じ設定にしてください。 


他のネットワーク機器の設定 


イントラネットに存在するネットワーク機器のデフォルトルートには、以下の仮想 IP アドレ 
スを設定してください。 

• 前述のオブジェクト network」 に定義したネットワークに属している機器には groupO に 
登録したイントラネット側の仮想 IP アドレス。 

• 前述のオブジェクト netwo「k_2 に定義したネットワークに属している機器には groupl に 
登録したイントラネット側の仮想 IP アドレス。 


一重化構成について 
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運用 

二重化構成の運用について説明します。 


障害発生時の対応 


運用系サーバにおいて障害を検出した場合には、フェイルオーバが発生し、待機系サーバへ 
業務が切り替わります。その際に基本設定ツールで指定した管理者の E-mail アドレス宛に 
メールが送信されます。 

• ダウンしたときのメッセージ 


Sudj ect : WARNING : [groupO] is downed 
!!WARNING!! 

[groupO] is not active on Firewall(fwsl.nec.co.jp[202.247.5.1]). 
Urgently check it. 

If you recieved a previous message "NOTICE : [groupO] changes 
to the active firewall"from fwsl.nec.co.jp[202.247.5.1], 
both groups are downed. 

Urgently check both groups!! 


• フェイルオーバしたときのメッセージ 


Subject: NOTICE : [groupO] chnges to the active firewall 
!!NOTICE!! 

[groupO] chnges to the active 
firewall(fws2.nec.co.jp[202.247 .5.2]). 

Urgently check another failed rirewall. 


I n-O ダウンした要因がネットワークの通信障害などの場合、ダウンしたときのメッセージがサー 
ノ（内に滞留し、障害復旧後に送信されることがあります。メッセージを受信したら必ずその 
発信時刻を確認するようにしてください。 

メールを受信した 6 Exp 「 ess 5800 / FW 500の状態を確認し、システム□グ ( syslog ) からフエ 
イルオーパが発生した要因を確認し、必要な対処を行ってください。メッセージ内容、対処 
方法等は「付録 C 二重化機能のログメッセージ」を参照してください。 

• 監視対象 IP アドレスとの通信途絶、あるいは、 FireWall - 1プロセス消滅が発生し、待機系 
Firewall に業務を引き継いだ場合、以後、そのサーバ上での業務の起動が拒否されるよう 
になります。その Firewall が業務の起動拒否状態かどうかは、 [clpstat - s ] の 
[ STARTING ] で確認できます。 
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• 運用系 Firewall が起動拒否状態のまま待機系 Firewall で業務を遂行している場合、待機系 
Firewall で監視対象 IP アドレスとの通信途絶、あるいは Fi 「 eWall -1 プ□セス消滅が発生し 
ても、待機系 Firewall から運用系 Firewall へは業務が引き継がれず、引き続き待機系 
Firewall で業務が遂行されます。但し、上記の条件においても相互のインターコネクトの 
通信が途絶した場合においてはこの限りではなく、起動拒否状態であっても運用系 
Firewall で業務が遂行されます。起動拒否状態は、次の手順により解除されます。 

[監視対象 IP アドレスとの通信途絶が原因の場合] 

-監視対象 IP アドレスとの通信復帰 
- clpgrp コマンドによって業務を起動 
- Firewall 再起動 

[ FireWall -1 プロセス消滅が発生した場合] 

- clpgrp コマンドによって業務を再開 
- Firewall 再起動 
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コマンドリファレンス 


状態表示、運用系、待機系の切り替えなどはコマンドを使用して行います。 

情報表示 

現在の状態、設定内容を確認するには以下のコマンドを実行します。 

clpstat -s [-h host name] 

-n 

-i [-h host name] 


状態、設定情報の表示を行います。 

〈オプション〉 

- S または引数なし....各種状態を表示します。 

-n . インタコネクトマップを表示します。 

-i . 各種設定を表示します。 

-h host_name . 操作対象サーバ名。指定なしの場合、コマンド実行サーバが対象とな 

ります。 


# clpstat -s 

- CLUSTER status - 

* serverO : fwsl 1.0 -1.4 . 

• ~Fta7C つ ............................................................................ 


serverO serverl 

SERVER STATUS . ONLINE ONLINE . 

GROUPO STATUS . ONLINE OFFLINE — 

POLICY 1st 2nd . 

STARTING . ALLOW DENY . 

<A> groupO-ipwO ONLINE ONLINE "" 


<U> groupO-fipO ONLINE OFFLINE ■- 

O n 〇 〇 yi |— —^ / 〇 |— |— 〇 |— |— 〇 |— |— r\ ........................................... 


ZUZ .z47.5.3/z55.z55.z55.0 
<U> groupO-parpO ONLINE 〇 FFLINE ■■ 


<U> groupO-execO ONLINE OFFLINE ■■- 

S : / opt / necfws/bin/ckcstat . 


E : / opt / necfws/bin/ckcstat . 


<U> groupO-exec1 ONLINE OFFLINE 

W : / opt/necfws/bin/ckfwalive 

E : / opt/necfws/bin/ckfwalive -k 



i 


③ 

④ 

8 

⑦ 

⑧ 

⑨ 

⑱ 

⑪ 

© 

© 

⑭ 

⑲ 



□ー ドシェア時には、 GROUPO の情報に引き続き GR 0 UP 1 の情報が表示されます。 
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clpstat - s の各項目について 


① サーバ 名 （1 台目） 

② サーバ 名 (2 台目） 

③ サーバの状態 

ONLINE :ハートビートが受信されている 
OFFLINE :ハートビートが受信されていない 

④ グループの状態 


ONLINE 

:正常 

OFFLINE 

:停止 

ERROR 

こ異常 

UNKNOWN 

:不明 


⑤ フェイルオー バポリシ 

⑥ グループ起動の許可/禁止 


ALLOW 

:許可 

DENY 

:禁止 

UNKNOWN 

:不明 


⑦ IPW リソースの起動種別と状態 


< A > 

< U > 

ONLINE 

OFFLINE 

ERROR 

UNKNOWN 


全サーバ起動 

単サーバ起動 

正常 

停止 

異常 

不明 


⑧ IPW リソース監視アドレス 

⑨ FIP リソースの状態 

※ IPW リソースと同様 

⑩ FIP リソース設定アドレス/ネットマスク 
⑪ PARP リソースの状態 

※ IPW リソースと同様 
⑫ PARP リソース設定アドレス 
⑬ EXEC リソースの状態 
※ IPW リソースと同様 
⑭ EXEC リソース起動時実行パス 
S :監視なし 
W :監視あり 

⑮ EXEC リソース停止時実行パス 
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# clpstat 


SERVER : fwsl 


CLUSTER INFORMATION 


CLUSTER : 
STARTUP 
WAIT timeout 
HB port 
HB interval 
HB timeout 
API port 
API timeout 
LOG port 
ping timeout 
RECOVER 
RETRY count 


AUTO ■― 

5 . 

24002 ■■… 

1 . 

5 . 

24001 

30 . 

0 . 

3 . 

RESTART 
5 . 


SERVER0 : fwsl 
INTERCONNECTO 
INTERCONNECT1 


192.168.1.1/255.255.255.0 
192.16 8 .2.1/255.255.255.0 


SERVER1 : fws2 
INTERCONNECTO 
INTERCONNECT1 


: 192.168.1.2/255.255.255.0 
:192.168 .2.2/255.255.255.0 


GROUP0 : group0 " 
START 
FAILBACK 
ENVIRONMENT 
RECOVER 
RETRY count 
FAILOVER policy 


AUTO . 

MANUAL .. 

ACT_NORMAL ■■… 

IGNORE . 

0/0 . 

0 : fwsl1 : fws2 


IPW0 : groupO-ipwO 
TYPE 

POLLING address 
RECOVER 
RETRY count 


ASR . 

192.168 .1.254 

FAILOVER . 

2/2 . 


FIP0 
TYPE 
ADDRESS 
INTERFACE 
PING count 
ARP count 
RECOVER 
RETRY count 


groupO-fipO 


USR . 

202.247.5.3/255.255.255.0 

ethO : 1 . 

0 . 


RETRY 

5/5 .... 


PARP0 
TYPE 

IP ADDRESS 
MAC ADDRESS 
INTERFACE 
PING count 
ARP count 
RECOVER 
RETRY count 


group0-parpO 


USR . 

202.247 .5.5 .. 

00 : A0:34 : 1A:4C:D3 
ethO ■■■■■■■.■■■■■■■■■■■■■ 

0 . 


RETRY ■ 
5/5 ■- 


< 次ページに続く > 


①⑥⑦⑧⑨⑱⑪ ⑫⑬ ⑭⑮⑯⑰©©⑳ © ㉒ © ㉔©©㉗©©0©㉜ © ㉞㉟©© ©©⑩@@©® 
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□ー ドシェア時には、 GROUPO の情報に引き続き GROUP 1の情報が表示されます。 


clpstat - i の各項目について 

① CLUSTERPRO AE の起動方法 

YES :自動起動 

N 0 :手動起動 

② 起動待ち合わせ時間(秒） 

③ ハートビート受信用 UDP ポート番号 

④ ハートビート送信間隔(秒） 

⑤ ハートビートタイムアウト(秒） 

⑥ API 用 TCP ポート番号 

⑦ API タイムアウト(秒） 

⑧ □グポート番号 

⑨ ping コマンドタイムアウト(秒） 

⑱リカバリ方法 


RESTART 
STOP 
HALT 
REBOOT 
UNKNOWN :不明 
⑪リトライ回数 
⑫サーバ名 （1 台目） 

⑬インタコネクトアドレス 
⑭サーバ名 (2 台目） 

⑮インタコネクトアドレス 
⑯グループ名 


CLUSTERPRO AE 再起動 
CLUSTERPRO AE 停止 
〇 S シャツトタ'ウン 
〇 S リブート 


⑰グループ起動方法 


⑱ 


AUTO 

自動 

MANUAL 

手動 

UNKNOWN 

不明 

フェイルバック方法 

AUTO 

自動 

MANUAL 

手動 

UNKNOWN 

不明 

環境変数 


ACT_NORMAL 

:通常起動 

ACT_FAILOVER 

:フェイルオーバ 

DEACT_NORMAL :通常停止 

DEACTJLLEGAL :異常停止 

グループリカバリ方法 

IGNORE 

無視 

RETRY 

再起動 

STOP 

停止 

FAILOVER 

フェイルオーバ 

UNKNOWN 

不明 


㉗ リトライ回数 

㉒ 運用系サーバ名待機系サーバ名 
㉓ IPW リソース名 
㉔ 起動タイプ 

ASR :全起動リソース 

USR :単起動リソース 

㉕ IPW リソース監視対象アドレス 


EXEC0 : groupO-execO 
TYPE 

ACT path 
DEACT path 
POLLING 
PID 

RECOVER 
RETRY count 


USR . 

/opt/necfws/bin/ckcstat 
/ opt/necfws/bin/ckcstat 

NO . 

21623 . 

STOP . 

0/0 . 


EXEC1 : groupO-exec1 
TYPE 

ACT path 
DEACT path 
POLLING 
PID 

RECOVER 
RETRY count 


USR 

/ opt/necfws/bin/ckfwalive 

/ opt/necfws/bin/ckfwalive -k 

YES 

21625 

FAILOVER 

2/2 


雲⑰⑲⑲ ©©© 
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㉚ PARP アドレス 
㉚ MAC アドレス 
⑩ PARP インタフェース 
© ping 回数 
⑫ arp 回数 

⑬ PARP リソースリカバリ方法 
※ IPW リソースと同様 
㉞ リトライ回数 
⑮ EXEC リソース名 
⑮起動タイプ 

※ IPW リソースと同様 
⑰ EXEC リソース起動時実行パス 
⑲ EXEC リソース停止時実行パス 
⑲ EXEC リソース監視設定 
※ IPW リソースと同様 
㉚ EXEC リソースプ□セス D 
㉛ EXEC リソースリカバリ方法 
※ IPW リソースと同様 
㉜ リトライ回数 


# clpstat -n 

- INTERCONNECT INFORMATION - 

ssirvsirO : fwsl. 


ssnrvsirl : fws2 ■■■■■■■■■■ 画 ……………………………………………………■■… 




[on serverO : ONLINE]. 

address serverO serverl 



192.168.1.1 OK OK . 


192.168,2.1 OK OK 


[on server*1 : ONLINE] ..... 

address serverO serverl 


192.168 .1.2 OK OK 

192.168 .2.2 OK OK 


clpstat - n の各項目について 

① サーバ 名 （1 台目） 

② サーバ名 (2 台目） 

③ サーバ （1 台目) ステー タス 

④ プライマリインタコネクトアドレス/ステータス 

⑤ セカンタ'リインタコネクトアドレス/ステータス 

⑥ サーバ (2 台目) ステー タス 


㉖ IPW リソースリカバリ方法 


IGNORE 

RETRY 

STOP 

FAILOVER 


UNKNOWN 
㉗ リトライ回数 
㉙ FIP リソース名 
㉙ 起動タイプ 

※ IPW リソースと同様 
㉚ FIP アドレス 
㉛ FIP インターフェース 
㉜ ping 回数 
㉝ arp 回数 

㉞ FIP リソースリカバリ方法 
※ IPW リソースと同様 
㉟ リトライ回数 
㉟ PARP リソース名 
© 起動タイプ 

※ IPW リソースと同様 


無視 

再起動 

停止 

フェイルオーバ 
不明 


①②③ ④⑤ ^ 
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運用系/待機系の切り替え • 業務の起動/停止 

運用系/待機系の切替や、業務の起動/停止を行ラ場合、以下のコマンドを実行します。 

clpgrp - s [-h host name] [-g grouD name] 

- t [-h host name] [-g grouD name] 

-m [-h host name] [-g group_name] 

業務の起動/停止関連操作を行います。 

〈オプション〉 


-S . 業務の起動を行います。すでに起動されていたり、他のサーバで起動 

している場合には失敗します。 

-t . 業務の停止を行います。すでに停止されていたり、他のサーバで起動 

されている場合には失敗します。 

-m . 業務の実行サーバを切り替えます。業務が起動しているサーバ側で実 

行する必要があります。 

-h host_name . 操作対象サーバ名です。指定なしの場合、コマンド実行サーバが対象 

となります。 - m オプション指定時には、業務移動元サーバの意味も持 
ちます。 

- gg 「 oup_name .……操作対象グループを指名します。指定なしの場合、全グループが対象 
となります。 


一重化構成について 
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二重化構成の再セットアップ 


二重化構成の場合の再セットアップについて説明します。 

次の手順に従って再インストールします。 

• 管理 サーバ 

Express 5800 / FW 300または FW 500を管理サーバにしている場合の Fi 「 eWall -1 管理サー 
パの再インストールについて説明します。 

1. 3 章の「再インストール」-「再セットアップ」の手順9までを行う。 

2. 3章の「2.システムのセットアップ」- 「FireWall-1 管理モジュールのコンフィグレーション」を行 

う。 

3. 3章の「再インストール」-「再セットアップ」の手順11を行い、管理サーバへバックアップをリ 
ストアする。 

• Firewall 本体 

Firewall 本体の再インストール方法について説明します。 

1. 3 章の「再インストール」-「再セットアップ」の手順9までを行う。 

2. 3章の「2.システムのセットアップ」- 「FireWall-1 管理モジュールのコンフィグレーション」を行 

う。 

3. 3章の「再インストール」-「再セットアップ」の手順11を行い、管理サーバへバックアップをリ 
ストアする。 

• セキュリティポリシーをインス!-ール 

セキュリティポリシーの再インス I -ールについて説明します。 

1.SmartDashboard がら管理サーバへ接続し、 Firewall 本体へセキュリティポリシーをインストー 
ルする。 

2 . 運用系 Firewall、 待機系 Firewall の順で再起動する。 

□ー ドシェア機能を使用している場合は、再起動の順番は関係ありません。 
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注意 • 制限事項 


Firewall 本体が2台以上必要です。また、ライセンスは同じノード数のものをそれぞれの 
実 IP アドレスで申請する必要があります。 

自動フェイルバック時、接続されていたセッションが切断される場合があります。 

フェイルオーバが発生した場合、 IKE セッションは失われる可能性があります。 

自動フェイルバックが設定されている場合、運用系サーバ再起動後、自動的に運用系 
サーバで業務が開始されます。自動フェイルバックが設定されていない場合は、待機系 
サーバで業務が起動されたままになり、運用系サーバの方が待機状態になります（運用 
系、待機系の逆転)。運用系サーバに業務を切り替える場合はコマンド ( clpg 「 p - m ) により 
サーバの切り替えを実行する必要があります。 

待機系で監視対象 IP アドレスとの通信途絶が発生している場合、運用系でリソース異常 
が発生しても待機系サーバに業務は引き継がれません。ただし、この場合でもコマンド 
( clpgrp - m ) により業務実行サーバを切り替えることは可能です。 
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